Набор от алгоритми за криптиране, използвани за защита на радиокомуникациите при спешни случаи, ще стане обществено достояние след промяна на решението на Европейския институт за стандарти в далекосъобщенията (ETSI).

Алгоритмите се използват от TETRA – съкращение от Terrestrial Trunked Radio protocol – и се експлоатират от правителства, правоприлагащи, военни и спешни организации в Европа, Обединеното кралство и други страни.

В средата на 2023 г. базираната в Нидерландия фирма за сигурност Midnight Blue разкри пет уязвимости, засягащи всички радиомрежи TETRA, които биха могли да позволят на престъпниците да декриптират и прихващат комуникации в реално време.

Грешките – и секретността на самите алгоритми – предизвикаха възмущение в общността по сигурността, която посочи, че патентованите алгоритми за криптиране означават, че изследователите от трети страни не могат да тестват кода, което затруднява откриването на грешки и защитата на мрежите.

Техническият комитет, отговарящ за стандарта TETRA, се събра през октомври, за да обсъди публикуването на секретните алгоритми. След това те гласуваха единодушно за отворен код на всички криптографски алгоритми на въздушния интерфейс на TETRA.

„Срещата беше много добре посетена и на нея присъстваха представители на широката общност на TETRA, включително оператори, потребители, производители и правителства“, се казва в изявлението на председателя на комитета на ETSI Брайън Мургатройд. „След публикуването на алгоритмите сме отворени за академични изследвания за независими прегледи.“

Органът по стандартизация не е определил дата за предоставяне на достъп до алгоритмите, заяви пред The Register говорителят на ETSI Клер Бойер.

TETRA включва оригинален набор от криптографски алгоритми за въздушния интерфейс: TEA 1, 2, 3 и 4. Някои от тях бяха разкрити от изследователския екип Midnight Blue, който откри петте уязвимости и оповести техническите подробности за тях на годишните конференции по сигурността Black Hat и DEF CON през август 2023 г.

Изследователите заявиха, че са изчакали година и половина, за да разкрият подробностите – вместо стандартното шестмесечно изчакване – поради чувствителния характер на мрежите и сложността на корекциите на недостатъците, които бяха наречени TETRA:BURST.

През 2022 г. ETSI добави три нови и предполагаемо квантовоустойчиви алгоритъма към семейството на TETRA, наречени TEA 5, 6 и 7. Алгоритмите имат за цел да се справят със заплахата, че в тревожно близко бъдеще квантовите компютри ще могат да разбиват съществуващите схеми за криптиране, като по този начин данните и комуникациите, защитени с досегашното криптиране, ще станат несигурни.

Според ETSI целият този набор от нови и стари алгоритми ще влезе в публичното пространство, заедно с TAA1 (оригиналната спецификация за удостоверяване и управление на ключове) и TAA2 (новата спецификация за удостоверяване и управление на ключове). ®

Директорът на ФБР Кристофър Рей отправи поредната си страстна молба към американските законодатели да отменят предложеното изискване за издаване на заповед за т.нар. „запитвания за лица от САЩ“ за данни, събрани чрез любимия инструмент за шпиониране на федералните служби – раздел 702 от FISA.

Това спорно изменение на Закона за наблюдение на чуждестранното разузнаване ще изтече в края на декември, освен ако Конгресът не го утвърди отново. Тъй като крайният срок наближава и реформата се очертава, ФБР и други правоприлагащи агенции се опитват да убедят законодателите да дадат зелена светлина на раздел 702, без да внасят никакви промени в инструмента за шпиониране – и особено без изисквания за издаване на съдебни заповеди.

Раздел 702 позволява на федералните служби да шпионират без съдебна заповед комуникациите на чужденци извън Съединените щати в името на предотвратяването на престъпления и терористични атаки.

Тя обаче също така събира телефонни разговори, текстови съобщения и имейли на лица от САЩ – ако чужденецът общува с или за тези лица от САЩ – и цялата тази информация се съхранява в огромни бази данни, които ФБР, ЦРУ и АНС могат да претърсват без съдебна заповед.

Действително се случватмилиони злоупотреби с тези правомощия за шпионаж и понякога чужденците стават мишена за следене на американците или постоянно пребиваващите в страната, с които общуват.

Миналата седмица двупартийна група сенатори и представители представиха мащабен законопроект, наречен Закон за реформа на правителственото наблюдение, който ще поднови действието на раздел 702 за още четири години – но с нови ограничения на правителственото наблюдение, включително изисквания за издаване на заповеди за наблюдение на комуникациите на американски лица, данни за местоположението и превозните средства, история на сърфирането в интернет и записи от търсения.

Както обикновено, законопроектът допуска някои изключения от изискването за заповед. Те включват отбранителни цели в областта на киберсигурността или други извънредни ситуации – като например намиране и спасяване на заложници в чужбина – които представляват „непосредствена заплаха от смърт или сериозни телесни повреди“.

С други думи: ако правоприлагащите органи не разполагат с достатъчно време, за да попълнят документите за заповедта и да накарат съдията да я подпише предварително, работата си върви както обикновено.

Но това не е достатъчно за ФБР или Белия дом, които миналата седмица нарекоха изискването за заповед „червена линия“.

По време на днешното изслушване Рей удвои обичайната си реторика по член 702. В предварително подготвените си бележки той заяви пред представителите, че „загубата на тази жизненоважна разпоредба или нейното повторно утвърждаване в стеснен вид ще доведе до дълбоки рискове“.

По-конкретно, Рей е загрижен за изискването за заповед за запитване на американски лица.

„Изискването за издаване на заповед би било равносилно на фактическа забрана, тъй като заявките за запитвания или няма да отговарят на правния стандарт, за да получат одобрение от съда; или защото, когато стандартът може да бъде изпълнен, това ще стане само след изразходване на оскъдни ресурси, представяне и разглеждане на дълги правни документи и изтичане на значително време – с което в света на бързо развиващите се заплахи правителството често не разполага“, каза Рей.

Той се спря на по-ранните злоупотреби на ФБР с член 702 за шпиониране на протестиращи, спонсори на предизборни кампании и дори на избрани служители.

„За да бъда сигурен, никой не споделя по-дълбоко от мен загрижеността на членовете на ЕП относно предишни нарушения на ФБР, свързани с FISA, включително правилата за търсене на информация по раздел 702, като се използват идентификатори на лица от САЩ“, каза Рей.

Той добави, че ФБР е „реагирало стриктно“ на тези нарушения и това вече е „драстично“ намалило търсенията по 702 за американски лица, добави той.

„Освен това, както публично обявихме през юни, ФБР прилага допълнителни мерки както за по-нататъшно подобряване на спазването на правилата, така и за търсене на отговорност от нашите служители за злоупотреба с раздел 702 и други разпоредби на FISA, включително чрез ескалираща схема за отчетност на служителите, включително дисциплинарна и завършваща с възможно уволнение.“ ®

Изследователи разкриха нови слабости в Google Workspace, които могат да доведат до атаки с цел получаване на откуп, ексфилтриране на данни и декриптиране на пароли.

Изследователите от Bitdefender казват, че методите могат да се използват и за достъп до Google Cloud Platform (GCP) с персонализирани разрешения и могат да се преместват от машина на машина.

Инфоспекторите казват, че Google им е казала, че слабостите няма да бъдат разгледани и няма да получат никакви поправки на сигурността, тъй като попадат извън модела на заплахи на компанията.

Уязвимостите, които разчитат на компрометирани локални машини, като тези, подчертани от Bitdefender днес, не се считат за специфични за Google грешки, тъй като компрометирането чрез методи като зловреден софтуер трябва да бъде обхванато от съществуващите контроли за сигурност на организацията.

По време на процеса на разкриване на уязвимостта Google също така заяви на изследователите, че поведението на съхранение на данни е в съответствие с предвидените практики на Chrome.

Bitdefender казва, че това не бива да се приема с лека ръка и слабостите, подчертани в изследването му, са потенциално реално използваеми. Участниците в заплахите често търсят и се възползват от тези пропуски в покритието“, се казва в доклада му.

Организации за Windows

Атаките зависят от използването от дадена организация на Google Credential Provider for Windows (GCPW), който предлага възможности за управление на мобилни устройства (MDM) и единично влизане (SSO).

Когато GCPW се инсталира на дадена машина, се създава локален акаунт Google Accounts and ID Administration (GAIA), който има повишени привилегии. След това GCPW добавя доставчик на пълномощия към услугата LSASS (Local Security Authority Subsystem Service) на Windows, така че потребителите да могат да влизат в машината си с Windows, използвайки пълномощията си от Workspace.

GAIA създава нов локален акаунт за новите потребители, които се удостоверяват с помощта на GCPW, като свързва този локален акаунт с акаунта на Workspace. В локалния акаунт се съхранява и токен за обновяване, който поддържа достъпа до API на Google, като премахва необходимостта от постоянно повторно удостоверяване.

Генериране на токени за достъп и заобикаляне на MFA

Въпреки че компрометирането на локалното устройство трябва да се осъществи преди заобикалянето на MFA, слабостта е забележителна, тъй като може да бъде верижно използвана по-късно за кражба на пароли в обикновен текст.

Нападателите могат да откраднат токените за опресняване на акаунта в две различни области в зависимост от възрастта на токена. След като бъдат създадени, те първо се съхраняват за кратко в стойността на регистъра на Windows и се криптират с помощта на функцията CryptProtectData. По-късно те се съхраняват по-трайно в профила на потребителя в Chrome.

Декриптирането е възможно и на двете места. В регистъра на Windows токените за обновяване могат да бъдат декриптирани с помощта на често използвани инструменти като Mimikatz или чрез извикване на функцията CryptUnprotectData. Това е по-скрит метод, казва Bitdefender, но е достъпен в регистъра само за по-кратък период от време.

Обратното важи за декриптирането след съхраняването му в профила на Chrome. То остава там за по-дълго време, предлагайки по-голяма сигурност по отношение на местоположението си, но е по-шумно, което увеличава шансовете за откриване.

След това токенът може да бъде издаден на атакуващия чрез специално подготвена POST заявка, която дава на атакуващия разрешение за достъп до всяка услуга в обхвата на токена. Възможна е ексфилтрация на данни в услуги като Gmail и Google Drive, както и множество други злоупотреби.

Bitdefender казва, че „интересна“ услуга за злоупотреба би била Vault API, която може да ексфилтрира всички имейли и файлове за всички потребители в рамките на една организация.

Ако по някаква причина нападателят не е успял да извлече токена, той може да наложи повторно удостоверяване, като промени стойността на дръжката на токена на невалидна или нулева стойност.

Възстановяване на пароли в обикновен текст

Експлойтът за заобикаляне на удостоверяването може да се използва, за да помогне на нападателите да извлекат RSA ключа, необходим за декриптиране на потребителските пароли – „по-сериозният“ експлойт в изследването, казва Bitdefender.

„Токените за достъп, когато са откраднати, представляват риск за сигурността, като позволяват на нападателите да получат ограничен достъп в границите, определени от разрешенията на токена“, казва тя. „Тези токени често са ограничени във времето и идват със специфични ограничения на обхвата.

„За разлика от тях, достъпът до пълномощни в обикновен текст, като например потребителски имена и пароли, представлява по-сериозна заплаха. Това е така, защото позволява на нападателите директно да се представят за легитимни потребители и да получат неограничен достъп до техните акаунти, което потенциално може да доведе до пълно превземане на акаунти.“

Възможно е нападателят да използва предишния експлойт, за да генерира нов токен за достъп с обхвата на OAuth и след това да изпрати заявка GET към конкретна недокументирана крайна точка на API, за да изтегли необходимия ключ RSA.

Странично движение

Експлойтът за странично придвижване се отнася главно за внедрявания на виртуални машини (VM) и използва обичайната практика на клониране на VM.

Акаунтът GAIA, който се създава при инсталирането на GCPW на нова машина, винаги генерира уникална парола, но ако машината е създадена чрез клониране на друга машина, тогава паролата във всички машини ще бъде една и съща.

Сценариите, при които няколко машини са били клонирани от друга, могат да позволят на нападателите да ги преминат, ако се сдобият с идентификационните данни само на една от тези машини.

„Клонирането на машини е много често срещано, особено в специфични сценарии като VDI или RDP внедрявания“, казва пред The Register Мартин Цугек, директор технически решения в Bitdefender.

„Всяко решение, насърчаващо управлението на един образ, е податливо на този метод на атака. Тази уязвимост е особено важна в момента, когато участници в заплахи като LockBit активно използват CitrixBleed, за да получат неоторизиран достъп до мрежи чрез решения за отдалечени работни плотове.

„Привлекателността на управлението на един образ е ключова характеристика при внедряването на VDI и RDP. Тя ви позволява ефективно да внедрявате десетки хиляди машини, като същевременно работите само с минимален набор от образи на виртуални машини.“

Тук влиза в сила първоначалното компрометиране на устройството, тъй като Bitdefender казва, че начинът да се намерят идентификационните данни на акаунта GAIA е да се използва зловреден софтуер, способен да изброява тайните, съхранявани в LSASS, като Mimikatz.

Тук няма грешки

В описаните от Bitdefender експлойти има уговорки, като основната е, че за изпълнението на всеки от тях се изисква компрометиране на локална машина. Това е основната причина, поради която Google отказа да ги разгледа, като атаките, изискващи компрометиране на локална среда, са извън нейния модел на заплахи.

Когато локалната машина е компрометирана до степен, в която може да се стартира зловреден софтуер като Mimikatz, експлойтите, дефинирани от Bitdefender, предлагат само малка извадка от възможностите, отворени за нападателите.

По време на първоначалния процес на разкриване на уязвимостта изследователят по сигурността на Bitdefender Раду Тудоричă заяви, че тъй като локалният компромат може да доведе до атака срещу облачната инфраструктура на организацията, той заслужава внимание.

В отговор Роджър Тава от проекта Chromium заяви: „Дори и без GCPW, токенът за опресняване се съхранява на диска в профила на Chrome, криптиран по същия механизъм, както когато се съхранява в регистъра.

„При стартиране на приложение като потребител на същата операционна система винаги може да се извлече тази стойност. С GCPW тази стойност се съхранява временно в регистъра, преди да бъде копирана в профила на диска. Това беше прегледано от службата за сигурност на Chrome по онова време и счетено за толкова сигурно, колкото всяка друга част от потребителските данни на Chrome и следващо най-добрите практики за Windows.“

По отношение на принудителното повторно удостоверяване на автентичността с цел кражба на токени той също така заяви, че това не увеличава риска от кражба на токена.

„Ако дадено приложение може да записва в HKLM, за да наложи повторно удостоверяване, то може също така просто да прочете криптирания токен за опресняване директно от профила на диска.“

Докладът за грешка предизвика преглед с екипа по сигурността на Chrome и беше обсъждан близо месец, но в крайна сметка получи статус „няма да се поправи“.

Днешното изследване на Bitdefender беше представено по-скоро като пример за това как да се разширят съществуващите локални пробиви в Google Workspace, въпреки че идва с редица уговорки.

„Но само защото някои слабости попадат извън обхвата на модела на заплаха, това не означава, че участниците в заплахите няма да ги използват“, се казва в него. ®

Главният служител по сигурността на компанията Clorox е напуснал работата си след пробива в корпоративната мрежа, който е струвал на производителя стотици милиони долари.

Ейми Богак е заемала длъжността главен директор по сигурността на информацията (CISO) и вицепрезидент по корпоративната сигурност и инфраструктура в Clorox от юни 2021 г., според профила ѝ в LinkedIn.

Въпреки че профилът ѝ в LinkedIn не посочва никакви промени в работата, петък е бил последният ден на Богак в мултинационалния конгломерат за почистващи продукти, според Bloomberg News, който е прегледал вътрешна бележка и се е позовал на двама души, запознати с въпроса.

Богац не е отговорила на запитванията на The Register, а говорител на Clorox е отказал да каже дали Богац остава на работа.

„От уважение към нашите настоящи и бивши колеги не коментираме въпроси, свързани с персонала“, отговори говорителят.

Чау Банкс, главният директор по информацията и данните на бизнеса за 7 млрд. долара, за когото се съобщава, че е написал бележката, ще изпълнява ролята на Богац, докато Clorox продължава да се оправя с бъркотията, търсейки и наемайки заместник.

„Тя беше защитник на най-добрите практики в областта на киберсигурността във външен план и в цялата компания чрез постоянното си участие в нашата поредица „Обяд с лидер“, за да влияе и обучава другите по въпросите на киберсигурността и съответните теми“, се казва в бележката. „По време на работата си в Clorox тя също така разви силен екип по сигурността и инфраструктурата.“

Clorox разкри за първи път, че компютърната ѝ мрежа е била компрометирана, в подадена през август информация в Комисията по ценни книжа и фондови борси на САЩ. Тогава тя заяви, че някои от ИТ системите и операциите ѝ са били „временно нарушени“ поради „неоторизирана дейност“ в ИТ средата ѝ.

В последваща декларация до Комисията по ценните книжа и фондовите борси през септември се отбелязват „широкомащабни смущения“ в цялата дейност поради проникването.

Тези смущения включваха ръчна обработка на поръчките, след като някои системи бяха изключени от мрежата. „Компанията работи с по-ниска скорост на обработка на поръчките и напоследък започна да изпитва повишено ниво на проблеми с наличността на потребителските продукти“, заяви тогава Clorox.

В отчета си за приходите за първото тримесечие на фискалната 2024 г. в началото на този месец Clorox отчете 20% спад на нетните продажби за първото тримесечие на годишна база и отбеляза, че намалението от 356 млн. долара се дължи „основно“ на кибератаката.

В последвалото подаване на информация до Комисията по ценните книжа и фондовите борси (SEC) Clorox отбеляза, че разходите, свързани с пробива в мрежата, за трите месеца, приключващи на 30 септември, възлизат на 24 млн.

„Направените разходи са свързани предимно с консултантски услуги на трети страни, включително експерти по възстановяване на ИТ и съдебни експертизи и други професионални услуги, направени за разследване и отстраняване на последиците от атаката, както и с допълнителни оперативни разходи, възникнали от произтичащото от това прекъсване на бизнес операциите на компанията“, се посочва в подадения формуляр 10-Q.

Clorox също така разкрива, че очаква да понесе повече разходи, свързани със свръхсигурността, в бъдещи периоди. ®

Шведската организация за цифрови права Qurium е открила около 250 клонирани уебсайта и предполага, че те съществуват, за да насочват хората към свързани с Китай сайтове за хазарт.

В доклада на Qurium се обяснява, че филипинската медия MindaNews е открила клонинг на самата себе си, преведен на китайски език и натъпкан с реклами на хазарт.

По-нататъшното разследване е довело до появата на стотици подобни клонинги – сред организациите, чиито сайтове са копирани и поставени, са частни предприятия, университети и обществени библиотеки.

„Всички клонинги са създадени през септември 2021 г. и включват реклама на хазартната компания „188bet“ чрез връзката към 520xingyun.com/from/188bet.php“, се посочва в доклада на Qurium.

И тук нещата стават интересни. Органът твърди, че някои от хазартните реклами, открити на уебсайта 520xingyun.com, „са свързани с физически адрес в данъчното убежище остров Ман, където са регистрирани няколко хазартни компании“.

Qurium твърди още, че един от рекламираните уебсайтове е свързан с организация, наречена Kaiyun, която притежава лиценз за бизнес в Обединеното кралство, управляван от базирано в Гибралтар дружество, наречено TGP Europe Limited.

TGP се обявява за доставчик на хазартни услуги с „бял етикет“ – по същество платформа за залагания като услуга, която футболен клуб може да използва, за да създаде своя собствена маркова хазартна услуга, без да се налага да се занимава с управлението на необходимата платформа.

Комисията по хазарта на Обединеното кралство обяви, че компанията е нарушила изискванията на лиценза си за борба с прането на пари.

Qurium се позовава на репортаж на фокусираното върху футбола издание Josimar, в който се твърди, че TGP предоставя услугите си на контролирани от Китай юридически лица, които управляват хазартни услуги, но не могат да работят в Китай, тъй като там хазартът е забранен. Затова такива организации използват за своя база Виетнам и Филипините.

Qurium също така установи, че имената на домейни за повечето клонирани сайтове са регистрирани от Gname.com Pte. Ltd. – организация, която регистрира домейни, които много приличат на други марки и които след това се използват за сайтове за хазарт. Организацията за цифрови права посочва, че Gname е била призована от Световната организация за интелектуална собственост за тези дейности.

Защо се занимава с клониране на сайтове и регистриране на съмнителни домейни за популяризиране на сайтове за хазарт? Защото издателите се въздържат да пренасят определени реклами на сайтовете си, а големите рекламни мрежи и компаниите за рекламни технологии затова позволяват блокирането на някои теми.

Незаконно клонираните сайтове вероятно нямат особени угризения по отношение на рекламите на трети страни, които показват, което ги прави полезни за операторите на сайтове за хазарт, тъй като те се стремят да генерират трафик.

Не е ясно дали тези клонинги са насочени към хората в Народната република – където хазартът е незаконен и играчите са силно обезкуражени да използват VPN, освен ако не са необходими по бизнес причини – или целта е значителната китайска диаспора.

Какъвто и да е мотивът, щетите са ясни: търсачките не са благосклонни към сайтове, които разполагат с дублирано съдържание, което прави тези клонирани сайтове най-малкото дразнещи за уебстраниците, които са копирали. ®

Според високопоставен служител на Бюрото ФБР използва „значителни“ ресурси, за да открие членовете на скандалната група за киберпрестъпления Scattered Spider, която преди няколко месеца атакува няколко известни казина и продължава да е активна.

Смята се, че бандата, която представлява слабо сплотена група от тийнейджъри и мъже в началото на 20-те години, базирана в САЩ и Обединеното кралство, е отговорна за проникванията в мрежите на Caesars Entertainment и MGM Resorts.

Scattered Spider, подобно на други онлайн изнудвачи, прониква в ИТ средите на жертвите, ексфилтрира възможно най-много ценни данни и след това изисква заплащане, за да запази тази информация под похлупак и да не я изнася или продава.

MGM Resorts, която отказва да плати искания от бандата откуп, претърпява дни на прекъсване на работата на системата и нарушаване на операциите в резултат на проникването, което струва на корпорацията около 100 млн. долара. Съобщава се, че Caesars са платили около 15 млн. долара и изглежда не са претърпели същото ниво на престой като другия гигант в казино сектора.

По данни на Mandiant към септември 2023 г. Scattered Spider е проникнал в поне 100 други организации.

Въпреки че ФБР не уточнява колко организации са попаднали в мрежата на Scattered Spider, висш служител на ФБР заяви пред репортери по време на брифинг в четвъртък, че агенцията полага „значителни усилия от наша страна, за да се справи с тях, и ние влагаме значителни ресурси срещу него“.

„Призоваваме организациите да споделят всякаква информация, с която може да разполагат за Scattered Spider, като например комуникация с актьорски групи или доброкачествени образци на криптирани файлове, и да съобщават за кибератаки“, заяви високопоставен служител на Агенцията за киберсигурност и инфраструктурна сигурност на САЩ (CISA) по време на разговора с репортерите. „Това дава възможност на CISA и ФБР да оценят проникването, за да идентифицират техниките и да споделят анонимни подробности в широк мащаб, за да помогнат на други организации да се защитят от тази заплаха.“

Също в четвъртък ФБР и CISA издадоха съвместна консултация в отговор на престъпната дейност на екипажа от паякообразни, наблюдавана още този месец.

В консултацията се описват подробно тактиките за социално инженерство, които Scattered Spider използва, за да получи първоначален достъп до мрежите на компаниите. Те включват представянето за ИТ или помощен персонал чрез телефонни обаждания или текстови съобщения, за да се получат данни за вход от служителите или да се подмамят служителите да стартират инструменти, които предоставят на злосторниците отдалечен достъп до корпоративни компютри.

Също така, под прикритието на ИТ служители, екипът е убеждавал служителите да възстановят многофакторната си автентификация и е извършвал многократни измами с размяна на SIM карти, които убеждават клетъчните мрежи да прехвърлят телефонния номер на мишената към SIM карта, контролирана от Scattered Spider. След като бандата контролира този номер, тя може да получи достъп до поканите за MFA и по-лесно да компрометира акаунтите на жертвите.

След като бандата получи достъп до мрежата, престъпниците използват легитимни инструменти, за да намерят и ексфилтрират чувствителна информация. След това образци от откраднатите данни се предлагат на жертвата като доказателство за кражбата с намерението да се изнудят за седемцифрени суми, за да се спре разпространението на откраднатите файлове. По-рано тази година екипът започва да внедрява зловреден софтуер за изнудване в средите на жертвите и на този етап е възможно да е филиал на операцията ALPHV/BlackCat ransomware-as-a-service.

Докладването на жертвите е изключително важно

„И единственият начин, по който сме в състояние да разпространим тази информация, е когато я получим от жертвите“, каза висшият служител на ФБР. „Съобщаването от страна на жертвите е от критично значение за способността ни да предприемаме правоприлагащи действия срещу такива участници.“

Както консултацията, така и брифингът за пресата идват в момент, когато ФБР е подложено на критики, че не действа достатъчно бързо за арестуването на престъпниците, въпреки че много от тях са базирани в САЩ и самоличността им е потенциално известна на правоприлагащите органи, според доклад на Ройтерс.

Служителят на ФБР отказва да коментира текущото разследване на членовете на бандата Scattered Spider.

„Само защото не виждате, че се предприемат действия, не означава, че няма действия, които се предприемат“, каза служителят, цитирайки неотдавнашните сваляния срещу бандата за изнудване Hive, Genesis Market, BreachForums и Qakbot.

„Има много неща, които правим зад кулисите“, каза служителят. ®

Актуализирано Поделението на Samsung Electronics в Обединеното кралство уж е предупредило клиентите си за продължило цяла година нарушение на сигурността на данните – третият подобен инцидент, който южнокорейският гигант преживява по света през последните две години.

В имейл до клиентите, споделен в социалните мрежи от консултанта по уеб сигурност и създател на Have I Been Pwned Трой Хънт, се уточнява, че пробивът, излагащ на риск данните на клиенти, направили покупки между 1 юли 2019 г. и 30 юни 2020 г., е открит на 13 ноември.

Samsung Electronics UK заяви, че неоторизирано лице е използвало уязвимост в бизнес приложение на трета страна, използвано от фирмата. Изложената информация е включвала имена, телефонни номера, както и физически и имейл адреси.

Преди това Samsung призна за пробив с обем от близо 200 GB, извършен от бандата за изнудване Lapsus през март 2022 г., който включваше вътрешна информация, като например изходния код на смартфони Galaxy.

Минаха само няколко месеца, преди американският филиал на Samsung да съобщи за друго нарушение: проникване в края на юли, което е било насочено към данни на клиенти. Samsung разкри, че потенциално са били откраднати имена на клиенти, контактна и демографска информация, дата на раждане и информация за регистрация на продукти, но не и номера на социални осигуровки.

След хакерската атака през юли 2022 г. Samsung увери, че е предприела действия за защита на засегнатите системи и че работи с властите.

Въпреки тези обещания, комбинацията от двете кибератаки донесе на хайбола колективен иск през септември 2022 г. В иска се твърди, че Samsung ненужно събира лична информация от своите клиенти и впоследствие не я защитава.

В иска се твърди, че клиентите са били принудени да предадат данните си или в противен случай функциите и свойствата на телевизорите и принтерите ще бъдат деактивирани.

Samsung „е била наясно, че измамниците и престъпниците, които са имали достъп до откраднатите изходни кодове и свързаната с удостоверяването на автентичността информация (наред с други поверителни данни), са могли да проникнат в слабите системи на ответника“, се твърди в иска.

Обновено за добавяне в 1137 UTC

Samsung се е свързала с нас, за да съобщи: „Неотдавна бяхме предупредени за инцидент, свързан с киберсигурността, в резултат на който определена информация за контакт на някои клиенти на електронния магазин на Samsung в Обединеното кралство е била незаконно получена.

„Не са били засегнати финансови данни, като например данни за банкови или кредитни карти или пароли на клиенти.

„Предприехме всички необходими стъпки за разрешаване на този проблем със сигурността, включително докладване на инцидента на Службата на комисаря по информацията и установяване на контакт със засегнатите клиенти.“

Ориентираната към каналите компания за киберсигурност SonicWall купува базираната във Вирджиния MSSP Solutions Granted – първото й придобиване от повече от десетилетие.

Този ход е продиктуван от огромното търсене от страна на клиентите на управлявано откриване и реагиране (MDR) и разширено откриване и реагиране (XDR), заяви пред The Register главният изпълнителен директор на SonicWall Боб ВанКирк.

Заедно с базирания в САЩ център за операции по сигурността (SOC) като услуга, сделката означава, че SonicWall ще предоставя тези услуги на клиентите си за първи път.

„Току-що се върнах от двуседмично посещение в Европа и три четвърти от всички разговори с партньори бяха: „Хей, кога ще предложите MDR услуги?“, каза ВанКирк.

„Бях в Испания, Германия, Лондон и едно и също нещо: все повече се нуждаем – въз основа на нашите клиенти, това, което клиентите искат от нашите партньори – имаме нужда от тези възможности.

„Това, което Solutions Granted ни предоставя незабавно, са тези възможности – управлявано откриване и реагиране за крайни точки, за облак, управление на уязвимостите и, знаете, доказан опит [в областта на успеха].“

Главният изпълнителен директор заяви, че когато е поел ролята през август 2022 г., е било ясно, че компанията трябва да допълни предложенията си с услуги като MDR и XDR, за да могат клиентите да се борят със съвременния пейзаж от заплахи.

Той също така определи този ход като „фундаментален“ за растежа на компанията и такъв, който я позиционира по-добре при съществуващите партньори.

„Едно от нещата, които правим и които приложихме през изминалата година, е да удвоим подкрепата за нашите партньори за 100-процентовия ни партньорски пазар“, добави ВанКирк. „Направихме всичко, като започнем от обновяването на партньорската ни програма, направихме всичко по отношение на това как можем да обслужваме по-добре, да подкрепяме и да предоставяме необходимите възможности.

„Така че, знаете ли, това е от основно значение за нашия растеж, от основно значение е за това, от което се нуждаят партньорите на пазара, и ние просто виждаме, че MSP и MSSP растат – техните услуги са от основно значение. Недостигът на умения… компаниите не могат да се справят сами и това е критично ниво, наред с другите, които искаме да осигурим от страна на SonicWall.“

Финансови подробности за придобиването няма да бъдат разкрити, но всеки служител на Solutions Granted ще бъде запазен и ще се присъедини към SonicWall – нещо „изключително важно“ за главния изпълнителен директор Майкъл Крийн, който ще докладва на ВанКирк.

„Едно от най-ранните изявления беше: „Трябва да се запазим заедно, трябва да мога да доведа всички с мен“, каза Криан. „Защото, ако не ги доведем, тогава губя нещо, което е много важно за мен, емоционално… ако загубя един от тях, това ще стане много въздействащо.“

Пътят напред

SonicWall имаше натоварена година, през която трябваше да намери заместници на около 90 % от ръководните си длъжности, като освен това през септември стартира актуализирана партньорска програма SecureFirst.

Според ВанКирк новите промени ще бъдат пуснати първо за партньорите в Северна Америка и ще получат „изключително положителни“ отзиви, а през новата година ще бъдат въведени и в Европа, Близкия изток и Африка, заедно с допълнителни корекции въз основа на коментарите на партньорите.

През следващите няколко седмици ще се появи още по-рано поддръжка за допълнителни крайни точки, като Microsoft Defender „и множество други“, както и съобщения, свързани с изкуствения интелект за автоматизация.

„Защото, знаете ли, докато Майкъл и неговият екип свършиха невероятна работа в подкрепа на стотици, до 1000 MSP, когато се замислите за нашата партньорска мрежа от над 10 000, ние наистина искаме да изведем тази линия на мащаба“, каза ВанКирк.

„Така че изкуственият интелект ще бъде ключов компонент на това. Също така ще се стремим да разширим обхвата си и в други възможности и услуги. Така че това не е само запазване на Майкъл в екипа, а всъщност е опиране на този екип, тъй като ние предлагаме услуги с по-голяма стойност, отново за нашите партньори.“

През следващите няколко месеца SonicWall ще дебютира и с базирано в Европа SOC – „още една ключова услуга“, която компанията трябва да предлага, разкри ВанКирк.

Местоположението все още се пази в тайна, както и датата на стартиране, но обратната връзка с европейските партньори е взета предвид в голяма степен в процеса на вземане на решения. В момента SonicWall е най-загрижена за намирането на подходящи кадри за SOC.

„Най-важно е да имаме таланти, а не всички да са на едно място“, каза ВанКирк. „Хората могат да се намират в различни географски райони, така че разглеждаме езиковата поддръжка, часовите зони – всичко това със сигурност ще бъде взето под внимание, но абсолютно сигурно ще бъде базирано в Европа.“ ®

В отговор на нарастващото недоволство в организацията LockBit нейните ръководители промениха начина, по който ще преговарят с жертвите на рансъмуер занапред.

Ръководството на LockBit изрази загриженост относно ниския процент на плащане от страна на организациите, а когато те плащат, сумите, събирани от филиалите, се считат за твърде ниски.

Непоследователността на преговорите също е предмет на спорове сред ръководителите. В редиците на LockBit съществува убеждението, че по-малко опитните филиали не успяват да получат очакваното минимално плащане от жертвите и твърде често предлагат нерегламентирани отстъпки.

Преди влизането в сила на промяната на правилата през октомври нямаше почти никакви кодифицирани правила или насоки за водене на преговори. Партньорите бяха оставени изцяло на собствената си воля и непоследователните преговори доведоха до увеличаване на броя на жертвите, отказващи да платят откуп.

Това се дължи до голяма степен на факта, че по-малко опитните филиали на групата предлагат отстъпки, които са твърде големи в сравнение със сумата на откупа. Освен това реагиращите на инциденти, които следят преговорите на групата, записват тези данни и ги използват срещу нея.

Когато преговарящите смятат, че могат да получат по-голяма отстъпка при взаимодействие с по-опитни филиали, тъй като предишни атаки са показали, че такава може да бъде предложена, тези преговарящи прекратяват преговорите и изобщо отказват да платят. Те чувстват, че получават лоша сделка, а престъпниците в крайна сметка не получават пари.

В някои случаи от LockBit казват, че са виждали филиали, които предлагат отстъпки до 90 % само за да могат да получат плащане – нещо, което влияе на по-опитните престъпници, които предлагат по-малко агресивни отстъпки, да не могат да събират откупите си.

Ето защо LockBit въведе насоки, които филиалите да следват, както и правила относно максималните отстъпки, които могат да се предлагат, и колко ниско могат да отидат преговорите спрямо първоначалната сума на откупа.

Според информация, събрана от магазина за сигурност Analyst1, през септември LockBit е публикувала проучване, в което е предложила на афилиатите възможност да гласуват за потенциални промени в правилата, като е отбелязала разочарованието на групата.

Тя е предоставила на филиалите шест варианта, от които да избират:

1. Да оставят всичко както е. Афилиатите установяват свои собствени правила без ограничения, както винаги е било.
2. Установяване на минимално искане за откуп в зависимост от годишните приходи на компанията, например в размер на 3%, и забрана на отстъпки над 50%. Така, ако приходите на компанията са 100 милиона долара, първоначалното искане на откуп трябва да започва от 3 милиона долара, като крайното изплащане трябва да е не по-малко от 1,5 милиона долара.
3. Не прилагайте никакви ограничения за минималната изискуема сума, тъй като тя зависи от щетите, нанесени на жертвата. Максималната отстъпка обаче не трябва да бъде повече от 50 процента. Например, ако първоначалният откуп е определен на 1 млн. долара, филиалите не могат да приемат плащания, по-малки от 500 000 долара.
4. Забранете всякакви плащания, по-малки от сумата, с която е застрахована жертвата, ако бихте могли да намерите киберзастраховка.
5. Забранете всякакви плащания, по-малки от 50 % от сумата, за която е застрахована жертвата, ако можете да намерите киберзастраховка.
6. Други предложения, които имате предвид.

След това LockBit се спря на две правила, които ще ръководят всички бъдещи преговори, считано от 1 октомври.

Първото беше размерът на плащането на откупа и начинът, по който филиалите трябва да определят първоначалната сума пропорционално на годишните приходи на жертвата.

• Приходи до 100 млн. долара – откупът трябва да е между 3 и 10 процента
• Приходи до 1 милиард долара – откупът трябва да е между 0,5 и 5 процента
• Приходи над 1 милиард долара – откупът трябва да е между 0,1 и 3 процента

Въпреки че сумата на откупа в крайна сметка все още се определя по преценка на партньора и „каквато сума изглежда справедлива“, според LockBit горните насоки трябва да се следват при сценариите за внедряване на откуп в учебници.

Филиалите могат да коригират откупите, ако не успеят да унищожат резервните копия на жертвата, например.

Второто правило се отнася до отстъпките, които се предлагат от филиалите. Макар че сумата на откупа все още може да се определя донякъде по преценка на филиала, сега той има много по-малък лиценз за раздаване на отстъпки, като е определен твърд максимум от 50 %.

„От 1 октомври 2023 г. е строго забранено да се правят отстъпки в размер на повече от 50 процента от първоначално поисканата сума в кореспонденцията с атакуваната компания по време на процеса на преговори“, се казва в съобщение на LockBit, изпратено до афилиатите и споделено с Analyst1.

„За тези, които имат стоманен характер, знаят как да определят сумата на откупа, която компанията ще плати с голяма вероятност, и почти никога не правят големи отстъпки, моля, имайте предвид това правило и коригирайте сумата на откупа с размера на максимално допустимата отстъпка. Размерът на откупа все още се определя по ваша преценка в размер, който ви се струва справедлив.

„Моля, спазвайте стриктно правилата и се опитайте да се придържате към препоръките, доколкото е възможно.“

Анализатор1 цитира предишни разговори между LockBit и The Register като пример за тези нови политики в действие.

Когато в началото на октомври преговорите между гиганта CDW, занимаващ се с дистрибуция, и LockBit се провалиха, говорителят на групата за рансъмуер за Windows ни каза, че по негови изчисления годишният приход на CDW е 20 млрд. долара и предложението му за плащане е твърде ниско.

„Веднага щом таймерът изтече, ще можете да видите цялата информация, преговорите са приключили и вече не се водят“, заяви тогава говорителят на LockBit. „Отказахме предложената смешна сума“.

В съответствие с новите насоки за откупите на LockBit при оценка от 20 млрд. долара исканият откуп ще бъде определен между 20 млн. и 6 млрд. долара.

LockBit публикува в блога си за изтичане на информация, че CDW й е предложила само 1,1 млн. долара като откуп в отговор на поисканите 80 млн. долара – предложение, което очевидно е сметнато за обидно.

„Продължаващата битка между групите за откуп и техните потенциални жертви подчертава необходимостта от внимателно следене на новите събития в този постоянно развиващ се пейзаж“, заяви Analyst1.

„Ключовият извод от този анализ е признанието, че всеки случай с LockBit може да бъде по своята същност уникален, най-вече поради вътрешната организационна структура. Един от най-отличителните фактори е, че филиалите, които са отговорни за самото нарушение, са и тези, които стоят зад преговорите. Какво означава това? Всеки път, когато преговарящият се ангажира с нов случай, той може да има работа с различно лице.

„Човешкият фактор, включващ психологически нюанси и различни нива на опит, оказва значително влияние върху процеса на преговаряне. Ето защо засегнатите субекти трябва да се адаптират и да се ориентират ефективно в тези променливи, за да увеличат шансовете си за успешно решение в сложния пейзаж на смекчаване на LockBit атаките.“ ®